СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.03.2025
#ИБ#Инфра#Облака

Бэкдор Betruger: новая угроза в экосистеме RaaS

Бэкдор Betruger: новая угроза в экосистеме RaaS

Программа-вымогатель как услуга (RaaS) RansomHub, возглавляемая киберпреступной группой Greenbottle, представила новый бэкдор под названием Backdoor.Betruger. Этот инструмент отличает высокая функциональность и специализированные возможности, что делает его особенно эффективным в атаках на жертвы.

Отличия от традиционных методов

Backdoor.Betruger кардинально отличается от типичных подходов, которых придерживаются большинство групп программ-вымогателей. В то время как многие хакеры полагаются на существующие легальные инструменты и общедоступные вредоносные программы, Betruger предоставляет более комплексный набор функций, включая:

  • Захват скриншотов;
  • Регистрация нажатий клавиш;
  • Загрузка файлов на сервер управления (C&C);
  • Сканирование сети;
  • Повышение привилегий;
  • Сброс учетных данных.

Интересно, что несмотря на названия файлов, такие как mailer.exe и turbomailer.exe, Betruger не имеет функций для рассылки почты, что может свидетельствовать о попытках злоумышленников скрыть свое местоположение под легитимным приложением.

Современные тактики и уязвимости

Аффилированные лица RansomHub демонстрируют умелое использование новых технологий и стратегий. Среди известных тактик:

  • Использование подхода «Приведи свой собственный уязвимый драйвер» (BYVOD) для обхода защиты;
  • Эксплуатация уязвимостей, таких как CVE-2022-24521 и CVE-2023-27532, ведущих к утечке учетных данных из резервных копий Veeam.

Инструменты атакующих

Набор инструментов, используемый киберпреступниками, включает как общедоступные, так и специализированные утилиты:

  • Impacket — для манипулирования сетевыми протоколами;
  • Stowaway Proxy Tool — для проксирования трафика;
  • Rclone — для извлечения данных из облачных сервисов;
  • ScreenConnect — для удаленного доступа;
  • Mimikatz — для сброса учетных данных;
  • SystemBC — бэкдор, использующий прокси-протокол SOCKS5;
  • SoftPerfect (NetScan) — для обнаружения сетевых ресурсов;
  • Splashtop и TightVNC — для удаленного доступа.

Позиция RansomHub на рынке

С момента своего запуска в феврале 2024 года RansomHub занял доминирующую позицию на этом потенциально прибыльном рынке, привлекая многочисленные группы партнёров благодаря выгодным условиям, включая благоприятную долю выплат выкупа.

Таким образом, внедрение Backdoor.Betruger стало очередным шагом к усовершенствованию методов киберпреступности, подчеркивая необходимость улучшения кибербезопасности как для организаций, так и для индивидуальных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: